Disrupt or Defend? An AI Grudge Match

0:00:05 Emily Wearmouth: Hallo und herzlich willkommen zum Security Visionaries Podcast, einem Podcast, in dem wir Experten zusammenbringen, um über Cyberdaten, Sicherheit, Infrastruktur und allerlei andere interessante Themen zu sprechen. Ich bin eine Ihrer Gastgeberinnen, Emily Wearmouth. Und heute hoffe ich, einen kleinen Streit anzuzetteln. Lassen Sie mich das erklären. Ich habe in letzter Zeit darüber nachgedacht, wie CIOs und CISOs in Bezug auf KI ein fast widersprüchliches Mandat zu haben scheinen, wenn sie mit ihren CEOs sprechen und ihre Aufgaben für den Tag erhalten. Es gibt also einen CIO, der – so scheint es mir – gezielt dazu aufgefordert wird, durch die Gänge eines Unternehmens zu rennen, Dinge zu stören, Effizienzsteigerungen zu erzielen, Möglichkeiten zur Produktivitätssteigerung zu finden, New Einnahmequellen zu erschließen, aber im wahrsten Sinne des Wortes dazu aufgefordert wird, Dinge auseinanderzunehmen und sie im Rahmen dieses Prozesses mit KI neu aufzubauen, was sich großartig anhört. Doch was passiert, wenn ein CISO durch dieselben Gänge geht, dessen Auftrag vom CEO darin besteht, die Organisation zu verteidigen, insbesondere im Hinblick auf neu auftretende Bedrohungen, die mit KI zusammenhängen könnten? Das ist also das Thema, über das wir heute im Podcast sprechen sollen, und ich habe zwei hervorragende Gäste, die uns hoffentlich dabei helfen werden, diese kleine Auseinandersetzung zu klären. Ich beginne mit der Vorstellung unseres ersten Gastes, Mike Anderson, der die CIO-Seite des Boxrings repräsentiert. Hallo Mike, herzlich willkommen zum Podcast.

0:01:19 Mike Anderson: Es ist toll, hier zu sein. Ich freue mich auf das Gespräch. Hoffentlich wird es ein unterhaltsamer Sparringskampf.

0:01:24 Emily Wearmouth: Ja, hoffentlich. Mike ist also Chief Data and Information Officer bei Netskope, dem Sicherheits- und Netzwerkunternehmen, das ich meinen Lesern vorstellen werde. Er kam von Schneider Electric zu Netskope und bekleidet zudem zahlreiche Positionen in Beiräten. Wenn ich Gäste für den Podcast auswähle, versuche ich, tief in ihren Lebenslauf einzutauchen und zu sehen, was sie ganz am Anfang ihrer Karriere gemacht haben, um ein Gefühl dafür zu bekommen, wie sie das Gespräch angehen könnten. Und Mike, ich habe es schon sehr früh bemerkt, ich kann die leichten Schweißperlen und die Angst vor dem sehen, was ganz oben in deinem Lebenslauf steht. Mike, mir ist schon sehr früh aufgefallen, dass du viel mit Application Service Providern im Bereich Datenintegration gearbeitet hast. Ich denke also, dass Sie der Idee der Datenintegration und KI wahrscheinlich völlig unvoreingenommen begegnen. Ist das fair, Mike?

0:02:08 Mike Anderson: Ja, überhaupt keine Angst außer der Angst selbst.

0:02:13 Emily Wearmouth: Herzlich willkommen zum Podcast. Ich möchte Ihnen unseren zweiten Gast vorstellen, denn ich dachte, es wäre zwar toll, einen CIO und einen beliebigen CISO zu haben, aber es wäre noch unterhaltsamer, wenn es der CISO wäre, der tatsächlich täglich mit Mike Day zusammenarbeitet, denn dann werden sie nicht nur theoretisch reden und vielleicht bringen sie schon ein bisschen Groll mit in den Kampf. Unser zweiter Gast ist James Robinson, der CISO bei Netskope. Willkommen zum Podcast, James.

0:02:36 James Robinson: Ja, ich bin hier, um zu verteidigen.

0:02:41 Emily Wearmouth: In James' Lebenslauf dreht sich also alles um Datenanwendungen und Cloud-Sicherheit. Er begann seine Karriere in technischen Analysten- und Systemingenieurrollen, und ich bemerkte sehr früh in seiner Laufbahn, dass James bei einer großen Brauerei arbeitete. Vielleicht können wir uns offline über einige der Vorteile dieses Jobs unterhalten

0:02:59 James Robinson: Jederzeit.
wenn wir das bei einem Drink
können. 0:03:03 Emily Wearmouth: Super. Na gut, legen wir los? Ich möchte daher mit einer Frage an dich, Mike, beginnen. Wenn Sie sich umschauen, durch diese Gänge wandern und das große Ganze einer Organisation betrachten, wie entscheiden Sie, worauf Sie und Ihr Team Ihre Zeit verwenden sollten, um sicherzustellen, dass Sie nicht nur an der Oberfläche kratzen, sondern wirklich die KI-Projekte finden, die das größte Potenzial für eine positive Wirkung auf eine Organisation haben? Wo suchen Sie?

0:03:29 Mike Anderson: Nun, der erste Punkt ist der, bei dem wir einen wirklich gut definierten Prozess haben, denn wenn man eine Technologie – egal um welche es sich handelt – auf einen schlechten Prozess anwendet, gelangt man nur schneller zum gleichen Ergebnis. Das Erste, was wir tun müssen, ist sicherzustellen, dass wir einen soliden Prozess haben. Und eines der Dinge, die ich den Teams immer wieder sage, ist: Achtet darauf, dass wir die Einnahmen im Blick behalten. Wie erwirtschaften wir als Organisation Gewinne und wo liegen die Reibungspunkte in diesem Prozess? Und wie können wir Technologie nutzen, um diese Reibung zu verringern? Wenn man also an KI denkt, ist sie nicht anders als die robotergestützte Prozessautomatisierung oder jede andere Art von Werkzeug, die wir in diesem Bereich in den letzten 20 Jahren gesehen haben. Die Frage ist eigentlich nur: Wie stellen wir sicher, dass wir das richtig anwenden? Und KI ist kein Einheitsansatz. Es mag in bestimmten Bereichen keine sinnvollen Anwendungsfälle für KI geben, und KI sollte möglicherweise auch zusammen mit anderen Werkzeugen eingesetzt werden.

0:04:20 Emily Wearmouth: Und James, wenn man anfängt oder vielleicht einfach nur zusieht, wie Mikes Team Chaos anrichtet, wie geht man da vor, um sich mit KI vertraut zu machen? Was ist dein Ausgangspunkt?

0:04:31 James Robinson: Ja, ich denke, eine der Dinge, die – entgegen meiner Meinung zu diesem Thema – Mike und ich tatsächlich in der Alphabetisierung eine gemeinsame Basis gefunden haben. Und so stellten wir unter anderem fest, dass die Leute nicht wussten, wo ihre Grenzen liegen, wie viel sie preisgeben sollten, was akzeptabel ist, was nicht, und solche Dinge. Veranstaltungen wie Promptathon waren meiner Meinung nach ein gutes Beispiel dafür, wo ich besser jenes Hemd anstelle dieses hier hätte tragen sollen. Aber

0:05:00 Emily Wearmouth: Erklären Sie uns bitte, was Sie mit „Prompter eingeschaltet“ meinen? Ich sehe für den Zuhörer, dass du ein Hackathon-Kostüm trägst, aber du hast gerade Promptathon gesagt. Was ist das?

0:05:09 James Robinson: Die Idee war also, dass wir versuchen würden, einige Leute dazu zu bringen, Ideen zu entwickeln, einige für uns zugelassene KI-Tools zu verwenden – intern war es Gemini –, diese zu nutzen und dann anzufangen, Ideen und verschiedene Dinge zu entwickeln, die sie tun könnten. Es wurden auch sehr deutlich einige der Grenzen aufgezeigt, die man überschreiten kann bzw. nicht überschreiten sollte, damit wir die Netskope-Daten nutzen können und so weiter. Dadurch wurde das Wissensniveau aller Beteiligten angehoben, da sie Projekte durchführten, täglich mit KI arbeiteten und diese auch zum Vergnügen nutzten. Es handelte sich also um eine Maßnahme zur Sensibilisierung für das Thema Bildung. Damit wurde gewissermaßen der Grundstein gelegt, nicht nur in Bezug auf die Förderung von Bildung und Sicherheitswissen, sondern auch in Bezug auf eine allgemeine Bildung in diesem Bereich. Wir sind ein Technologieunternehmen, daher gab es für uns viele verschiedene Projekte rund um KI und GenKI, aber dadurch wurde der Fokus auch gewissermaßen geschärft und gleichzeitig eine Grenze dafür gesetzt, was angemessen ist und was nicht. Das ist eines der Gebiete. Der andere Bereich, den ich mir genauer ansehe, ist genau diese Angriffsfläche. Ich denke, der Bereich hat sehr, sehr gut definiert, was Angriffsflächenmanagement in Bezug auf Netzwerke, Systeme und potenziell angreifbare Dinge ist. Aber auch im Bereich der Schatten-KI kann eine Angriffsfläche entstehen, und zwar sogar schon durch die Verwendung einer Aufnahmeanwendung für diesen Podcast. Was passiert, wenn nun KI integriert ist? Niemand wusste es so genau. Wir haben es nicht überprüft, wir haben es nicht einem Sicherheitstest unterzogen, es nicht gestoppt, die Projekte nicht im herkömmlichen Sinne der Sicherheit verlangsamt, sondern lediglich sichergestellt, dass die KI sicher ist und nicht aus den hochgeladenen Daten lernt, weil wir diesen Umfang interner Daten nicht nutzen wollen, oder wenn wir einen Anwendungsfall haben, in dem wir versuchen, etwas zu tun und ein Produkt für Kundendaten oder Ähnliches zu entwickeln, und wir anfangen, die KI zu trainieren, dann geraten wir wirklich in schwierige Gespräche an heiklen Orten. Der Anwendungsfall und der Nutzen mögen, selbst wenn sie gut dokumentiert sind, vorhanden sein, aber wenn wir nicht wissen, ob sie die Informationen, die wir hochladen, nutzen, wenn sie nicht wissen, dass wir diese nutzen und ihre KI trainieren, dann ist das ein Problem. Und genau da müssen wir leider die Notbremse ziehen. Genau da wird aus „Wissen“ ein „Nein, das können wir nicht tun“ und wir ziehen eine klare Grenze. Aber im Grunde geht es darum, die Messlatte im Bildungsbereich höher zu legen, damit wir eine gemeinsame Basis und Gesprächsgrundlage schaffen. Und zweitens sollten wir uns ansehen, welche Bereiche der Schatten-KI wir angehen müssen, diese identifizieren und dann von dort aus unsere Strategie anpassen.

0:07:41 Mike Anderson: Ich weiß, wir haben gerade genug Videomaterial von dir aufgenommen, James, um einen Deepfake von dir zu erstellen, dafür weiß ich das zu schätzen. Apropos, wo wir dieses Video hochladen werden: Ich stimme zu, ich stimme zu, ich stimme zu. Wir haben es verstanden.

0:07:56 Emily Wearmouth: Okay, vielleicht hätte ich jemand anderen in den Podcast einladen sollen, einen anonymen Nutzer, denn es klingt so, als ob ihr beide mit eurem Promptathon eher im Gleichschritt marschiert, als ich es zu Beginn dieses Gesprächs vielleicht vorgesehen hatte. Und vielleicht sind es diese Schatten-Anwendungsfälle, die aus verschiedenen Geschäftsbereichen auftauchen, die hier das größere Problem darstellen, und weniger der zentralisierte organisatorische Ansatz im Umgang mit KI.

0:08:20 James Robinson: Ich sage Ihnen, wo der Konflikt liegt: Es geht um die Fähigkeit, aus der Perspektive der Sicherheitsüberprüfung genauso schnell vorzugehen. Mike und ich unterhalten uns ständig darüber, dass sich etwas verzögert hat, dass es nicht schnell genug vorangeht oder dass dieser Anwendungsfall einfach nur da liegt und das schon seit zwei Wochen. Können Sie das Team bitten, es zu überprüfen? Und ich glaube, genau da fängt der Konflikt in den meisten Teams an, seinen Ursprung zu haben. Natürlich besteht der Auftrag, mehr Effizienz zu erreichen und KI operationalisierbar zu machen und all diese Dinge zu tun, das wollen wir auch im Bereich der Sicherheit erreichen, aber wir versuchen, unsere Prozesse und Verfahren zu optimieren, und manchmal sind sie ehrlich gesagt einfach nicht schnell genug für das Geschäft. Und das ist eines der Dinge, bei denen ich als Führungskraft immer wieder nachfrage und versuche herauszufinden, ob wir KI selbst einsetzen können, um diesen Prozess zu beschleunigen. Warum nutzen wir nicht die Effizienz von KI, um die Dinge selbst zu beschleunigen? Und so versuchen wir, dasselbe zu tun, aber wir arbeiten einfach nicht so schnell, wie es sich das Unternehmen wünscht. Und genau da fangen die Konflikte an, wenn wir in solchen Situationen nicht einer Meinung sind, und es wäre, ohne für Mike sprechen zu wollen, so etwas wie: Hey, das ist ein einfacher Anwendungsfall. Ich verstehe nicht, warum es sich aufhängt oder warum es so langsam ist. Nun ja, es ist nicht so, dass jemand auflegt oder langsam ist. Das Problem ist, dass wir eine Flut von Anfragen aus verschiedenen Geschäftsbereichen und Teams haben, und der Rückstand ist enorm. Über 1.200 Bewertungen